Risolvere le query per gli oggetti Microsoft AD non gestiti

Questo argomento mostra come configurare l'inoltro DNS in modo che le query da unaGoogle Cloud rete autorizzata per le risorse Active Directory situate in un altro dominio vadano a buon fine.

Contesto

Quando utilizzi una Google Cloud VM associata al dominio di Managed Microsoft AD, se provi a cercare utenti o oggetti che non si trovano nella stessa rete VPC, la ricerca non va a buon fine. Non va a buon fine perché la configurazione predefinita di Windows non inoltra la query al dominio Microsoft Active Directory gestito. Utilizza invece il server DNS per la VPC in cui si trova la VM. Questo server DNS non contiene informazioni sugli utenti e sugli oggetti di Microsoft AD gestiti al di fuori della rete VPC, pertanto la ricerca non va a buon fine.

Il reindirizzamento DNS è utile in tutti i casi in cui devi risolvere le risorse situate al di fuori della rete VPC da Google Cloud. Ad esempio, se il dominio Microsoft AD gestito ha una relazione di attendibilità con il dominio di destinazione, questa configurazione è obbligatoria.

Prima di iniziare

Prima di iniziare, verifica le seguenti configurazioni.

• La Google Cloud VM deve essere associata al dominio Microsoft AD gestito.

• Il server dei nomi di destinazione dell'inoltro sia raggiungibile dalla rete VPC. Per verificare che sia raggiungibile, segui questi passaggi:

  Console

  Prima di iniziare, verifica che l'API Network Management sia abilitata.

  1. Vai alla pagina Test di connettività nella Google Cloud console.
     Vai alla pagina Test di connettività

  2. Crea ed esegui un test di connettività con i seguenti valori:

     • Protocollo: TCP
     • Origine: indirizzo IP della tua Google Cloud VPC
     • Destinazione: indirizzo IP del server DNS on-premise
     • Porta di destinazione: 53

  Scopri di più su come creare ed eseguire test di connettività di rete.

  PowerShell

  In Windows PowerShell, esegui il seguente comando:

  nslookup domain-name dns-server-ip
  

  Scopri di più su nslookup.

Se il target è un dominio on-premise, verifica la seguente configurazione del firewall.

• Il firewall deve essere configurato per consentire agli utenti del dominio Microsoft AD gestito di accedere alle risorse on-premise. Scopri di più sulle configurazioni del firewall per accedere alle risorse on-premise.

Se utilizzi l'inoltro DNS privato, sono necessari alcuni prerequisiti aggiuntivi.

• Il firewall on-premise deve trasmettere le query da Cloud DNS. Per consentire questo, configura il firewall in modo da consentire le query Cloud DNS dall'intervallo di indirizzi IP 35.199.192.0/19 sulla porta UDP 53 o sulla porta TCP 53. Se utilizzi più connessioni Cloud Interconnect o tunnel VPN, assicurati che il firewall consenta il traffico per tutti.

• La tua rete on-premise deve avere una route che indirizzi il traffico destinato a 35.199.192.0/19 alla tua rete VPC.

Il dominio di destinazione non si trova su una rete VPC

Per configurare il forwarding DNS da Google Cloud a un dominio on-premise che non si trova su una rete VPC, devi utilizzare una zona di inoltro. Scopri di più sulle zone di inoltro DNS.

Per creare una zona di inoltro che risolva il nome DNS on-premise negli indirizzi IP dei server DNS on-premise, completa i seguenti passaggi.

gcloud dns managed-zones create name \
    --description=description \
    --dns-name=on-premises-dns-name \
    --forwarding-targets=on-premises-dns-ip-addresses \
    --visibility=private

Il dominio di destinazione si trova in una rete VPC

Per configurare il reindirizzamento DNS da Google Cloud a un dominio autonomo che si trova su una rete VPC, segui i passaggi per Cloud DNS pertinenti alla tua configurazione.